漏洞时代 - 最新漏洞_0DaY5.CoM漏洞时代 - 最新漏洞_0DaY5.CoM

Discuz UC_Server 本地文件包含漏洞

##########################################
# Title : Discuz UC_Server 本地文件包含漏洞
# Time :2014年5月30日
# Team :08 Security Team
# Author :08安全团队
# 首发 :08安全团队
#######################################

漏洞利用步骤:
前台上传一个图片马

120140530142125[1]

 

2.新增加一个应用,uc_server里填写“应用里的物理路径”与“应用接口名称”(头像地址自己右键查看)

220140530142542[1]

 

220140530142542[1]

3.访问url:
appid=2(我这里是第二个应用所以就是2)

420140530143800-1024x603[1]

本原创文章未经允许不得转载 | 当前页面:漏洞时代 - 最新漏洞_0DaY5.CoM » Discuz UC_Server 本地文件包含漏洞

评论 9

  1. 表示测试结果。新建和修改都是连接失败。

    提示:文件 #/htdocs/bbs/uc_server/./api/uc.php 不存在,请返回检查应用的路径是否正确。

    微尘 2014-07-07    回复
    • ......本地测试是可以的~

      0day5 2014-07-11    回复
  2. 应该是包含成功了,但是显示出来的是问号。并没有回显phpinfo.求解

    nicai 2014-06-11    回复
    • 我测试的时候是显示phpinfo()和写 的一句话。都是包含成功并执行咯

      0day5 2014-06-12    回复
      • 会不会是360的问题啊?

        nicai 2014-06-15    回复
  3. 好啊。正好有个后台拿不到shell

    heihui 2014-06-07    回复
  4. 这个是不是可以拿SHELL :lol:

    xx 2014-06-05    回复
  5. 为何会通信失败呢

    无名 2014-05-31    回复
  6. 测试结果

    文件 #/htdocs/bbs/uc_server/./api/uc.php 不存在,请返回检查应用的路径是否正确。

    UC_Server 2014-05-31    回复